Archivo de la categoría: TS 102 778

Appliance de firma electrónica

Deja un comentario

Ya está disponible en formato appliance (y prácticamente con Configuración Cero) el aclamado sistema de firma electrónica BackTrust que permite a los organismos públicos cumplir con la Ley 11/2007 y a las entidades privadas poner en marcha el sistema de interlocución telemática al que les obliga la Ley 56/2007.

Hoy presentamos la variante xBackTrust, construida en torno a un equipo base de IBM x3650 y reforzado criptográficamente con placas IBM 4764 o Safenet Luna PCI.

El xBackTrust Appliance de Firma Electrónica gestiona firmas completas XAdES-XL y firmas PDF. Las genera, comprueba, prepara para el almacenamiento a largo plazo. Maneja TSA facilitando el uso de timestamping a través de protocolo OASIS DSS. Comprueba la validez de los certificados de cualquier prestador español o europeo. Es compatible con @firma y EADTrust.

Public Consultation on Electronic identification, authentication and signatures

Deja un comentario

As always, the last day comes quickly without enough time to prepare a sound document.

But tomorrow is the last day for this consultation and I though that my opinion could help to others.

Public Consultation on Electronic identification, authentication and signatures

1. Respondent information
Are you replying: On behalf of an organisation
Please provide the name of your Organisation
EAD Trust, European Agency of Digital Trust
Please provide if applicable, your interest Representative Register ID number
Please indicate which type of stakeholder you are Small or medium-size enterprise
Please provide your Name and Surname
Julian Inza
Please provide your email address
julian@eadtrust.net
Your country of residence Spain

2. General expectations regarding EU legislation on e-signatures, e-identification and e-authentication

Question 1: Do you / Does your organisation use e-signatures, e-identification and e-authentication?

 yes
If yes, what are your specific needs? Secure transactions
Unambiguous identification of contract partners
Integrity of electronic documents
Legal effect
Legal effect, contract signatures in particular
User convenience
Others
Please comment why
Electronic invoice, electronic documents of all kinds, electronic evidence

If yes, how frequently do you carry out secure transactions?

 Daily

Question 2: For what online transactions do you consider electronic identification, authentication and signatures useful in coming years?

 eGovernment services
Electronic Public Procurement
eCommerce transactions
eBusiness transactions
Online banking and financial transactions
Issuance of authentic electronic documents
Secure archiving or storage of authentic electronic documents
Others
Please comment why
electronic invoices, secure identification in social networks, electronic banking, web services, automated electronic seals,…

Question 3: What socio-economic benefits or drawbacks do you expect from the use of electronic signatures, identification, and authentication in other sectors of activity than yours?
A huge improvement in efficience and costs reductions. More security, more convenience, tele-operations of all kinds
Question 4: Would a stronger involvement of financial institutions in the provision of trusted e-signature and e-identification services have an impact on the take-up of e-signature and e-identification in other sectors? yes

If yes, what would be the appropriate incentives?
A simpler way to manage revocation information of certificates and to define trusted root certs and chain of trust&nbsp
Question 5: Do you think that there are specific interoperability or security aspects that should be taken into account to foster the use of electronic signatures, identification and authentication through mobile devices (e.g. requirements on the SIM cards, on the handset, on the mobile operator)? yes
If yes, regarding: operational
technical

Question 6: For which of the following trust building services and credentials should legal or regulatory measures be considered at EU-level in order to ensure their cross-border use and why?

 Electronic seals
Time stamping
Long term archiving
Certified delivery of mail
Pseudonyms
Certified electronic documents in general
Others (please list)
Please list
Long term accesible digital custody /electronic chartulary /electronic headoffice /secure verification code / certification validation services

3. e-signatures tailored to face the challenges of the digital single market

Question 7: How do you judge the take-up of electronic signatures in Europe?

 Very high
Please comment why
Citizen ID cards are being adopted in advanced countries, which include 2 or more certificates. Virtuous circle fosters the creation of adapted services
Question 8: Which of the following issues have a negative impact on the uptake of e-signature? You may select up to three answers that have according to you the most important impact. Lack of user-friendly signature solutions
Others
Please comment why
Poor solution for trust discovery of roots CA, bad implementations of OCSP in AIA extension of certificates, insufficient use of timestamping / not enough use of complete (AdES_XL) signatures, legacy management of CRLS to OCSP responses (bound to grace period), excesive use of CRLs for validation

Question 9: Which of the following specific issues have an impact on cross-border interoperability of e-signatures in Europe and should be addressed in a revised legal framework on e-signature (the references point to the articles and annexes of the eSignatures Directive)?

 Unclear terminology in Directive 1999/93/EC and heterogeneous terminology in national legislations
Heterogeneous approach to security requirements (e.g. certification requirements on the signing software in some countries)
Insufficient harmonisation of profiles of qualified certificates
Other
Please comment why
Lack of clear definition of electronic seal for legal persons, lack of clear definition of codes to inform about power of attorney in certificate extensions, unclear effect of qualified certificates without secre signature creation devices, lack of clear definition of automated signature&nbsp

Question 10: Which among the following options could be solutions for signature verification and validation at EU level?

 Other
Please comment why
Common list of OCSP services and timestamping services for all Trusted CAs in Europe. Signature software that creates always AdES-XL signatures including Timestamping and OCSP validation, getting the OCSP address from the AIA field of the certificate. OCSP services with grace period=0, supplied by the CA issuing certificates or a entity in its behalf, forbid the use of CRL for validation purposes. Relying party software that verifies XL signatures, Digital custody for secure storage of signatures,
Question 11: Do you have specific expectations from e-signature standardisation to cover? Mass signature (server signing)
Mobile signature creation devices
Remote signature
Others
Question 12: Do you use «qualified» e-signatures? yes
If yes, how often per month and for which kind and value of transactions?
3/4 per month. Transactions not connected to value. I believe transaction amount limits are relevant only to a few kinds of signatures.

Question 13: What is your view on the need to revise the security provisions of «qualified» e-signatures?

 The current provisions should stay as they are

Question 14: Would a classification of a range of e-signatures be desirable to match different levels of security?

 Yes, a classification would be convenient, it should be defined by law and a legal effect should be associated to each or some classes.
Please comment and explain for which usage a classification would be desirable.
legal person seal, automated signature, powers of attorney with use limits, SSL certificate with legal effects, sinonimous certificates and their effects, qualified certificates without SSCD. person associated to a company or government body acting in assigned role but not needing a representation letter or power
Question 15: Should «electronic consent» be recognised formally by future European legislation? yes

If yes, should legislation (where necessary supported by operational and technical standards) define specific requirements on:

 Others
Please explain why
It is already recognized in standards and is named «content commitment». When a certificate has that bit activated, should verify a proof of consent, including a turing test demonstrating the user has read the message and asking clearly for consent. This kind of use should generate evidences for all involved parties and, where possible, an accesible digital custody (chartulary+electronic headoffice+secure verification code) receipt for them)
Question 16: Should «electronic consent» be considered as equivalent to electronic signatures? yes

Question 17: Are there specific aspects that should be taken into account to address electronic archiving?

 yes
If yes, please specify the legal provisions which are needed in your opinion to address electronic archiving needs?
All electronic documents (signed or not) with legal effect, should be available under security considerations applied to archive (WORM), through a URL of trusted sites (electronc headoffice), with the help of a secure verification code. With additional measures for preserving privacy in specific cases, or to allow to be accessible to third parties for proof or evidential reasons. Paper documents or receipts withs URL and SVC, that can be verified against the electronis versions are considered trustworthy equivalent to authentic documents

4. Principles to guide e-identification and e-authentication in europe
Question 18: Do you see a need for additional legal or regulatory measures on electronic identification at EU-level? yes

If yes, in your opinion, what are the general principles that should underlie the legal provisions on the mutual recognition and acceptance of e-identification at EU-level?

 Others
Please comment
compatibility&nbsp
Question 19: What effects for the digital single market do you expect from legal provisions on an EU-wide mutual recognition and acceptance of eID issued in the Member States? Legal certainty
Reduction of administrative burden
Other
Please comment why
Simplicity for citizen to exercise their rights in all countries, Convenience for citizens, efficience for government bodies and enterprises

Question 20: How could users provided with electronic identification and authentication means benefit from their mutual recognition and acceptance across Europe and in which sectors?

 Increase of user convenience
Simplification of access to online services
Reduction of numerous UID/passwords
Reduced exposure to ID theft
Others
Please comment why
Use in day by day in non online services, to dematerialice paper

Question 21: What are the specific aspects that should be taken into account to achieve cross-sector interoperability of electronic identities?

 Others
Please comment why
Common list of trusted CAs and their roots, Common profiles, common OIDs definitions, Correct codification of OCSP servers in AIA fields

Question 22: Please indicate experiences and lessons learned in the private sector that could be transferred to the public sector.
Please make everything EASY for the final user. And define a consistent user experience for all ID cards. Users then can detect if someone try to cheat them (identifying unusual use patterns)

5. Legislative measures for the challenges ahead

Question 23: What European Union legislative measures on e-signatures, e-authentication of natural and legal person claims as well as e-identification would be appropriate in your opinion to best meet the challenges of the digital single market?

 Other
Please comment why
Reglament better than Directive. Clear rules. Clear language, Legal framework ligned with standards (standards are now better than law, but can not be used in the best way because law does not cover some technical uses)

6. Research and Innovation

Question 24: On what issues should EU R&D and standardisation focus to have all the necessary technology to improve eID management?
Nothing. A lot of money has been spent in past years without real improvement. We have standards. We should use them and in some cases improve them, with normal budget.

Question 25: On which technologies should Research & Development focus to improve the usability of e-signatures and electronic identification for end users and to facilitate the deployment for service providers?
Timestamping services, OCSP services, custodian services, registered notice services, mobile service, intelligent NFC services, interoperability services

Question 26: What technologies could contribute to overcoming the lack of trust in electronic identification, authentication and signatures in the European Single Market (ex. addressing the so-called «what you see is what you sign» issue)?
TSL, XAdES-XL, PAdES-LTV, writen signature digitalization with security measures binding the signature to the document in a way equivalent to «advance signature» with use of trusted third parties

7. Others

Question 27: Europe is fully part of the global economy. However, the forthcoming legal framework cannot cover non EU countries. Are there nevertheless international issues that should be taken into account?
The development of the legal framework must take into account existing standards or be compatible with future global standards. For instance RFC 3739

Question 28: Would you wish to share some best practices examples outside Europe?
Maybe connection of strong authentication with ID cards to federated identity systems (such as SAML) or simple authentication systems such as Open-ID can facilitate the use of Strong identity in social networks

Question 29: Are there any other issues which you think should be addressed by policy makers?
Yes. The use of ID systems and electronic signatures should be a strategic movement covering all kind of documents and sectors. In the past different lobbies or groups of interest have tried to convince EU policy makers to take out electronic signatures from electronic invoices to cite just one area. Electronic signatures should be used consistently in all areas or, at the end, exceptions will be greater that the rule and electronic signature can become useles or even worst, dangerous.
Meta Informations
Creation date
15-04-2011
Last update date
User name
null
Case Number
089674306510210511
Invitation Ref.
Status
N
Language
en

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

Duda sobre firmas AdES-XL

4 respuestas

Mi amigo Daniel me hace llegar una duda sobre firmas AdES, pidiendo la opinión de los expertos.

Se tiene una firma XADES-XLong, que contiene la CRL correspondiente. Esta CRL no está sellada (es decir, no es una XLong-Type1 ni Type2). Si se verifica la CRL antes de que la CA publique una nueva CRL, el documento XADES-XLong es válido. Pero si se verifica una vez que la CA ha publicado una nueva CRL, entonces no, y yo no estoy de acuerdo con este último aspecto, ya que se está asumiendo que el documento firmado caduca en la fecha indicada por el nextUpdate de la CRL.

Para evitar mezclar el período de gracia, podemos asumir que la XADES se realizó el 1 de enero, se convirtió en XADES-T el 15 de enero, y se convirtió en XADES-XLong el 30 de enero. Y que la verificación se está intentando hacer hoy, 4 de marzo.

¿Creis que es correcto?

Daniel cree que el documento XLong seguirá siendo válido hasta que caduque uno de estos tres certificados

  • El certificado del usuario firmante
  • El certificado del sello de tiempo de la XADES-T
  • El certificado de la CA que ha firmado la CRL

Pero no que dejará de ser válido en la fecha nextUpdate de la CRL

Esta es mi opinión:

El documento firmado con XAdES-T indica que el certificado se usó para firmar con anterioridad a la fecha indicada en el Sello de tiempo.

Cada CRL lleva su fecha. Las CRL son documentos con validez derivada de política, no necesitan tener firmas avanzadas. La especificación es la RFC 3280, no están en formato XML.

Luego, si una CRL posterior al sello de tiempo indica que el certificado no está revocado, la firma completa es válida. Incluso si se indica que el certificado está revocado, si la fecha de revocación (incluida en la CRL) es posterior, la firma es válida. A todo esto, hay que considerar «el período de gracia» transcurrido entre la fecha del timestamping y la de la primera CRL «válida».

Y el Documento X-Long es válido para siempre si se custodia debidamente (que es la opción que yo prefiero) o si se refirma en XAdES-A cada 5 años.

El sello de tiempo es un documento con validez derivada de política y no caduca. La CA aunque caduque no afecta a las firmas hechas con certificados que eran válidos en el momento de la firma.

Animo a los lectores a dar su opinión.

PAdES: PDF Advanced Electronic Signature (ETSI 102 778)

Deja un comentario

El estándar PAdES (ETSI TS 102 778) perfila el soporte para firmas digitales del formato PDF 1.7 (ISO 32000-1) con la finalidad de poder incluir firmas electrónicas avanzadas en los documentos PDF. Además, amplía dicho soporte ya que define estructuras de datos adicionales que sirven para mantener la validez de las firmas durante períodos largos de tiempo. Está previsto que las extensiones de ISO 32000-1 que define PAdES sean recogidas por ISO 32000-2.

Concretamente, PAdES (ETSI TS 102 778) define los siguientes perfiles:

  • PAdES-CMS: Define una firma CMS/PKCS#7 basada en ISO 32000-1, que tiene como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento y que la clave /SubFilter sólo pueda contener los valores adbe.pkcs7.detached y adbe.pkcs7.sha1. Además, este perfil recomienda la inclusión de un sello de tiempo como un atributo no firmado del CMS/PKCS#7. Este es el perfil soportado por la mayor parte de la soluciones de software que generan firmas en PDF.
  • PAdES-BES y PAdES-EPES: Define una firma CAdES-BES (ETSI TS 101 733) y otra CAdES-EPES (ETSI TS 101 733) que tienen como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento, la obligatoriedad de que la clave /SubFilter tenga el valor ETSI.CAdES.detached y la prohibición de utilizar la clave /Cert. Ambos tipos de firma admiten la posibilidad de incluir un sello de tiempo que las convierta, de hecho, en firmas CAdES-T (ETSI TS 101 733). Así pues, las características de las firmas PAdES-BES y PAdES-EPES son las mismas que las de las firmas CAdES-BES, CAdES-EPES y CAdES-T.
  • PAdES-LTV: Este perfil constituye una extensión de ISO 32000-1, ya que define dos estructuras que permiten prorrogar la validez de las firmas por tiempo indefinido. Por un lado, el diccionario DSS (Document Security Store), cuya finalidad es contener todos los datos de validación (certificados de CA, CRLs y respuestas OCSP) que sean necesarios para validar las firmas del documento. Por otro lado, el diccionario Document Time-Stamp, que es un diccionario de firma ISO 32000-1 cuya clave /SubFilter tiene el valor ETSI.RFC.3161 y que contiene un sello de tiempo de todo el documento PDF, incluyendo el diccionario DSS en el que se guardan los datos de validación de las firmas. Este sello de tiempo mantendrá, durante su vigencia, el valor probatorio de los datos de validación de las firmas. Es decir, mantendrá su fortaleza más allá de la fecha de caducidad que tengan. Por otro lado, antes de que el primer sello de tiempo caduque, podrán utilizarse de nuevo las estructuras DSS y Document Time-stamp con la finalidad de mantener el valor probatorio de dicho sello y, de este modo, mantener la validez de la firma. En este caso el diccionario DSS contendrá los datos de validación del primer sello de tiempo. Y el diccionario Document Time-stamp, un segundo sello de tiempo que abarcará, de nuevo, la totalidad del documento. De este modo, repitiendo la adición de un diccionario DSS que contenga los datos de validación del ultimo sello de tiempo y la de un diccionario Document Time-stamp que contenga un nuevo sello de tiempo, se puede mantener la validez de las firmas de un documento PDF durante un tiempo arbitrario. Mediante la utilización del perfil PAdES-LTV sobre documentos PDF que contengan firmas generadas de acuerdo a los perfiles PAdES-BES y PAdES-EPES se consiguen firmas con las mismas características de longevidad que las firmas CAdES-XL y CAdES-A (ETSI TS 101 733).
  • PAdES-XML: Engloba un conjunto de perfiles que describen como utilizar las firmas XAdES (ETSI TS 101 903) en los documentos PDF. Concretamente, se distingue entre que los documentos firmados según XAdES sean documentos XML cualesquiera y que los documentos firmados según XAdES correspondan a formularios XFA.

Referencias:

Mainframe supported electronic signature: zBackTrust

Deja un comentario

Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

Find more in this zBackTrust brochure, and in  this IBM page.

Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

Caixa Galicia, caso de éxito

1 respuesta

Caixa Galicia es una de las entidades financieras más avanzadas de Europa. Con un uso muy racional de la tecnología, pegada a las necesidades del negocio, la entidad desarrolla nuevos servicios y mejora la eficiencia de forma continua.

Ha sido una de las primeras entidades en incluir el DNI electrónico como opción de acceso a las cuentas a través de los cajeros automáticos e internet, y en desmaterializar la gestión de documentos incluyendo la opción de firmar electrónicamente contratos a través de la plataforma de Tractis.

En el entorno Mainframe, el equipo dirigido por Ricardo Carballo es uno de los más jóvenes de Europa, y frecuentemente referenciado por la multinacional IBM como ejemplo para sus clientes de lo que implica gestionar un entorno informático en el que conviven armónicamente los procesos críticos de la gestión de la entidad (que en ocasiones se catalogan de «legacy») junto con los mayores avances de la tecnología.

En el reciente lanzamiento de zEnterprise, por parte de IBM se han tenido en cuenta bastantes de las recomendaciones del equipo de Caixa Galicia para crear la que probablemente sea la plataforma más importante de los entornos corporativos de los próximos años y el anuncio más importante del gigante azul de los últimos 20 años.

El zEnterprise, con la nave insignia z196 anunciada mundialmente el pasado 22 de julio de 2010, implica la extensión de las herramientas de gestión de gama alta a cargas informáticas de cualquier tipo como x86 y Power que podrán distribuirse entre los blade que ahora forman parte de la arquitectura de Host. De forma que en estos equipos podrán ejecutarse múltiples instancias de sistemas operativos como z/OS, zLinux, Linux y AIX, con sofisticadas posibilidades de virtualización.

La gestión de los Sistema z (System z) en Caixa Galicia ha sido objeto de un interesante caso de estudio, desarrollado por Software Strategies que puede descargarse aquí.

Por nuestra parte, y como puede leerse en el estudio, estamos orgullosos de que el sistema de gestión de firmas electrónicas de la entidad haya sido zBackTrust, producto desarrollado por Albalia Interactiva, y que es uno de los elementos claves de la eliminación del papel en los procesos operativos de la caja gallega. zBackTrust es la única solución nativa para entornos zEnterprise que gestiona webservices de firma electrónica para firmas PDF y XML en base al standard DSS de OASIS. Hace uso de los recursos criptográficos disponibles en hardware, tanto las recientes tarjetas criptográficas Crypto Express3 como las difundidas Crypto Express2. zBackTrust está disponible para entornos z/OS, zLinux y Linux para xSeries (xBackTrust) corriendo sobre Tomcat o Websphere.

Otros artículos relacionados:

Período de gracia en las firmas XAdES-XL

5 respuestas

Debido al estado de desarrollo de los PSC cuando se redactaron algunas normas de firma electrónica, se tuvo en consideración el llamado «periodo de gracia para comprobación del estado de revocación de un certificado».

En alguna de aquellas normas  se recomendaba tener en cuenta la existencia de un periodo de tiempo de espera, conocido como periodo de precaución o periodo de gracia, para comprobar el estado de revocación de un certificado. Por ello, toda la información de revocación en formatos AdES se recomendaba incluirla después de trascurrido el periodo de precaución o periodo de gracia desde la obtención del sellado de tiempo. Este periodo como mínimo debía ser el tiempo máximo permitido para el refresco completo de las CRLs o el tiempo máximo de actualización del estado del certificado en el servicio OCSP. Estos tiempos podrán ser variables según la Declaración de Prácticas de Certificación del Prestador de Servicios de Certificación.

En la actualidad, está precaución no tiene sentido, especialmente cuando las firmas XAdES-XL se generan del lado del firmante y es este el que inlcuye los datos de timestamping y de validación basada en OCSP (y por tanto conoce si su certificado está revocado o no).

Efectivamente, en la actualidad, la información sobre revocación de certificados que ofrecen los prestadores de servicios de certificación sobre OCSP incluyen de forma inmediata cualquier información de revocación que se produzca, en tiempo real.

Sólo hay que tomar precauciones cuando se utilice como mecanismo de comprobación de la revocación el acceso a las listas CRL (un mecanismo obsoleto que solo se usa en algunos contextos) o cuando se utilice un servicio de validación que, aun siendo soportado por el protocolo OCSP, se basa en la consulta de CRLs para su funcionamiento.

En España, los únicos certificados que podrían requerir el mantenimiento del período de gracia son los de FNMT-RCM, ya que en muchos casos siguen distribuyendo CRLs. Igualmente, cuando se utilice @firma como plataforma de validación, conviene cerciorarse que el servicio no esté basado en consulta de CRLs.

Colisiones en las firmas en PDF

1 respuesta

Florian Zumbiehl reporta un problema en las firmas PDF que permitiría forzar colisiones de funciones resumen (hash) de documentos de forma que la firma electrónica de uno de ellos podria ser utilizada para aparentar que el firmado es el otro.

Según su descripción es una vulnerabilidad que radica en la propia especificación del formato PDF por lo que no depende de la implementación, y por tanto no cabe atribuirlo a un producto en particular.

En mi opinión, el tipo de ataque documentado no supone un problema real para los documentos PDF ya firmados, más allá de los aspectos probabilísticos  de las colisiones, consustanciales a las funciones resumen.

Es decir, siempre que obtengamos colisiones de documentos «a priori» estas colisiones podrán ser utilizadas para «suplantar» los documentos que colisionan, utilizando la firma de uno para dar la apariencia de firma al otro.

En este caso particular la concatenación de documentos, siendo uno de ellos firmado, podría dar lugar a que se considerara válida una firma sin serlo, ya que solo aplicaría a uno de los documentos y no al otro.

La solución general es utilizar funciones resumen diferentes en sistemas de firma dual o múltiple, tal y como hacemos en el proyecto Binum, que ya mencioné en este blog o tal como es posible llevar a cabo con certificados emitidos en la jerarquía de certificación dual de EADTrust.

Y, por supuesto, también merece la pena adoptar la solución propuesta por Florian, que consiste en afinar un poco más la especificación de la firma en PDF para que se reforzaran los controles que identifican lo que va firmado dentro del PDF.

zBackTrust en Caixa Galicia

3 respuestas

Ayer mencioné a Caixa Galicia en relación con sus 40 años de actividades en torno a System z. Y después, repasando algunos temas de nuestra colaboración he caído en la cuenta de que existe información muy interesante en Internet que me gustaría compartir con los lectores del blog.

Por un lado, este artículo internacional sobre el uso del System z en Caixa Galicia:
Lean, Efficient IBM System z™ Mainframe Platform Powered Caixa Galicia’s Dramatic Growth, National Success – Delivers Bank Transaction Costs 30% Below Spain’s Average!

Si vais hasta la página 12 y os leéis el apartado Future Trends in Electronic Document

Management, veréis la importancia que la caja da a nuestra solución zBackTrust de firma electrónica en Host.

Por otro lado, la intervención del propio Ricardo Carballo  en un reciente evento organizado por IBM: Soluciones para Cajas de Ahorro. Hacia una banca más inteligente.

El evento tuvo lugar el pasado 18 y 19 de mayo de 2010 en IBM Forum de Barcelona. Esta fue la Agenda:

Agenda
Agenda: Martes 18 de Mayo
14:00 – 17:00 Llegada al hotel
17:30 Encuentro en la recepción del hotel para traslado** al Centro Nacional de Supercomputación
18:00 Visita al Superordenador Marenostrum del Centro Nacional de Supercomputación
Bienvenida por D. Frances Subirada – Director Asociado del Centro Nacional de Supecomputación.
19:30 Fin de la visita y regreso al hotel
21:00 Encuentro en la recepción del hotel para traslado al restaurante
21:15 Cena

Agenda: Miercoles 19 de Mayo
09:45 Bienvenida e introducción
D. Alfred Escala, Vicepresidente Sector Servicios Financieros, IBM
10:00 Experiencias de éxito:
+ Caixa Galicia: zBackTrust, solución de firma electrónica en System z. D. Ricardo Carballo – Director del Centro de Operaciones de Caixa Galicia
+ BBK, Kutxa, Caja Vital: Solución Integral de Medios de Pago y Control de Fraude D. Jesús Jusué, Director Gerente Serinor
+ Caja de Burgos: Entorno Informacional con Cognos e Infosphere D.Angel Serrano, Responsable del Centro de Información de Caja de Burgos
11:30 Café
12:00 Framework del documento electrónico
D. Víctor Usobiaga – Equipo de desarrollo de negocio de entidades financieras (IBDT), IBM.
12:30 Demostraciones de soluciones para banca:
1) Gestión multicanal de la relación con el cliente
2) Análisis y utilización de la información de cliente
D. Antonio Plana – Director del Centro Internacional de IBM de Soluciones para Banca
13:30 Conclusiones y cierre
13:45 Cóctel

Ciertamente, la colaboración de Albalia Interactiva con Caixa Galicia ha sido y es muy fructífera. Lo que ha permitido que desarrolláramos juntos algunas iniciativas de impulso al DNI electrónico. En breve comentaré otra iniciativa en la explicaré como vamos a seguir impulsando el DNIe.

Otros artículos relacionados: